[go: up one dir, main page]

JP2008210091A - Authentication system and method - Google Patents

Authentication system and method Download PDF

Info

Publication number
JP2008210091A
JP2008210091A JP2007045273A JP2007045273A JP2008210091A JP 2008210091 A JP2008210091 A JP 2008210091A JP 2007045273 A JP2007045273 A JP 2007045273A JP 2007045273 A JP2007045273 A JP 2007045273A JP 2008210091 A JP2008210091 A JP 2008210091A
Authority
JP
Japan
Prior art keywords
code
authentication
terminal
time
temporary
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2007045273A
Other languages
Japanese (ja)
Inventor
Yutaka Hashimoto
豊 橋本
Hiroaki Takahashi
裕明 高橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SECURE DESIGN KK
Original Assignee
SECURE DESIGN KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SECURE DESIGN KK filed Critical SECURE DESIGN KK
Priority to JP2007045273A priority Critical patent/JP2008210091A/en
Publication of JP2008210091A publication Critical patent/JP2008210091A/en
Withdrawn legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To present an authentication method to be used also as the substitute of biometrics. <P>SOLUTION: An authentication terminal receives a temporary code composed of an arbitrary character string, and generates a terminal specifying code which includes information for specifying the authentication terminal, based on the temporary code (S3). An authentication management server checks the validity of the authentication terminal according to the terminal specifying code, and generates a confirmation code which includes information indicating the temporary code in the case of validity (S7). The authentication terminal receives the inputs of the code corresponding to the confirmation code and the code corresponding to the temporary code, and inspects compatibility in the code corresponding to the confirmation code (S9-S11). When the confirmation code is determined to be appropriate, the authentication terminal generates a one-time password, and requests the generation of the same one-time password to the authentication management server (S12, S13). The authentication management server generates the one-time password in response to a request from the authentication terminal, and requests the change of the password to an authentication usage device (S15). <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は、認証システム及び方法に関する。   The present invention relates to an authentication system and method.

ネットワークシステムの普及と高度化により、個人認証手段として、パスワードに代わり生体認証が広く利用されるようになってきた。例えば、指紋、静脈パターン、虹彩又は顔等の、各個人に固有の特徴で個人を認識する。   With the spread and sophistication of network systems, biometric authentication has been widely used as a personal authentication means instead of passwords. For example, an individual is recognized with features unique to each individual such as a fingerprint, vein pattern, iris or face.

しかし、これら生体認証システムで生体の特徴箇所を読み取る読取りデバイスが故障した場合を考慮すると、何らかの救済手段が必要になる。特許文献1には、生体認証を利用できないときの救済方法が記載されている。
特開2006−251961号公報 However, in consideration of a case where a reading device that reads biometric features in these biometric authentication systems breaks down, some relief means is required. Patent Document 1 describes a rescue method when biometric authentication cannot be used.
JP 2006-251961 A

登録済みのパスワードを使用する等の簡易な救済手段は、生体認証による安全性を無に帰しかねない。生体認証に匹敵する程に安全性の高い認証手段が望まれる。   Simple remedies such as the use of registered passwords can lead to the safety of biometric authentication. A highly secure authentication means that is comparable to biometric authentication is desired.

本発明は、生体認証の代替手段として利用可能な認証システム及び方法を提示することを目的とする。   It is an object of the present invention to present an authentication system and method that can be used as an alternative to biometric authentication.

本発明に係る認証システムは、認証端末と認証管理サーバとからなる認証システムであって、当該認証端末において、任意の文字列からなる一時コードを受け付け、当該一時コードから、当該認証端末を特定する情報を含む端末特定コードを生成する端末特定コード生成手段を具備し、当該認証管理サーバが、当該端末特定コードに従い当該認証端末の正当性を確認し、正当の場合に、当該一時コードを示す情報を含む確認コードを生成する確認コード生成手段を具備し、当該認証端末が、当該確認コードに相当するコードと、当該一時コードに相当するコードの入力を受け付け、当該確認コードに相当するコードの適合性を検査する確認コード検査手段と、当該確認コード検査手段で適合と判断された場合に、ワンタイムパスワードを発生すると共に、当該認証管理サーバに同じワンタイムパスワードの発生を要求する第1のワンタイムパスワード生成要求手段と、当該第1のワンタイムパスワード生成要求ステップで生成されたワンタイムパスワードを認証用に当該認証利用装置に送信するパスワード送信手段とを具備し、当該認証管理サーバが、当該認証端末からの要求に従い、当該ワンタイムパスワードを生成すると共に、認証利用装置にパスワードの変更を要求する第2のワンタイムパスワード生成要求手段を具備することを特徴とする。   The authentication system according to the present invention is an authentication system comprising an authentication terminal and an authentication management server, and accepts a temporary code consisting of an arbitrary character string in the authentication terminal and identifies the authentication terminal from the temporary code. Terminal identification code generating means for generating a terminal identification code including information, and the authentication management server confirms the validity of the authentication terminal in accordance with the terminal identification code, and if it is valid, information indicating the temporary code A verification code generating means for generating a verification code including the code, the authentication terminal accepting input of a code corresponding to the verification code and a code corresponding to the temporary code, and conformance of the code corresponding to the verification code Confirmation code inspection means for inspecting the password, and a one-time password is generated if the confirmation code inspection means determines that it is compatible And a first one-time password generation request means for requesting the authentication management server to generate the same one-time password, and the one-time password generated in the first one-time password generation request step for authentication. A password transmitting means for transmitting to the authentication using device, wherein the authentication management server generates the one-time password according to a request from the authentication terminal and requests the authentication using device to change the password. One-time password generation requesting means is provided.

本発明に係る認証方法は、認証端末と認証管理サーバとかなる認証システムにおいて、当該認証端末において、任意の文字列からなる一時コードを受け付け、当該一時コードから、当該認証端末を特定する情報を含む端末特定コードを生成する端末特定コード生成ステップと、当該認証管理サーバにおいて、当該端末特定コードに従い当該認証端末の正当性を確認し、正当の場合に、当該一時コードを示す情報を含む確認コードを生成する確認コード生成ステップと、当該認証端末において、当該確認コードに相当するコードと、当該一時コードに相当するコードの入力を受け付け、当該確認コードに相当するコードの適合性を検査する確認コード検査ステップと、当該認証端末において、当該確認コード検査ステップで適合と判断された場合に、ワンタイムパスワードを発生すると共に、当該認証管理サーバに同じワンタイムパスワードの発生を要求する第1のワンタイムパスワード生成要求ステップと、当該認証管理サーバにおいて、当該認証端末からの要求に従い、当該ワンタイムパスワードを生成すると共に、認証利用装置にパスワードの変更を要求する第2のワンタイムパスワード生成要求ステップと、当該認証端末において、当該第1のワンタイムパスワード生成要求ステップで生成されたワンタイムパスワードを認証用に当該認証利用装置に送信するパスワード送信ステップとを具備することを特徴とする。   An authentication method according to the present invention includes an authentication system including an authentication terminal and an authentication management server, wherein the authentication terminal accepts a temporary code composed of an arbitrary character string and includes information for identifying the authentication terminal from the temporary code. A terminal identification code generation step for generating a terminal identification code, and the authentication management server confirms the validity of the authentication terminal according to the terminal identification code, and if it is valid, a confirmation code including information indicating the temporary code Confirmation code generation step to be generated, and at the authentication terminal, an input of a code corresponding to the confirmation code and a code corresponding to the temporary code is received, and a confirmation code inspection is performed to check the suitability of the code corresponding to the confirmation code Step and the authentication terminal, if the verification code inspection step And generating a one-time password and requesting the authentication management server to generate the same one-time password, and in the authentication management server, in accordance with a request from the authentication terminal, A second one-time password generation request step for generating a one-time password and requesting the authentication using device to change the password, and the one-time password generated in the first one-time password generation request step in the authentication terminal And a password transmission step of transmitting the password to the authentication using apparatus for authentication.

本発明によれば、利用者に特定のパスワードを記憶してもらう必要なしに、安全性の高い認証システムを提供できる。特に、単独の利用だけでなく、生体認証の代替としても利用可能である。   According to the present invention, a highly secure authentication system can be provided without requiring the user to memorize a specific password. In particular, it can be used not only for single use but also as an alternative to biometric authentication.

以下、図面を参照して、本発明の実施例を詳細に説明する。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.

図1は、本発明の一実施例である認証利用システムの概略構成ブロック図を示す。認証端末10は、個人をその生体で認証する機能を具備し、通信網12を介して生体認証管理サーバ14及び認証利用装置16と接続する。認証利用装置16は、例えば、認証端末10で認証された利用者に所定のサービス又は機能を提供する装置である。   FIG. 1 shows a schematic block diagram of an authentication utilization system which is an embodiment of the present invention. The authentication terminal 10 has a function of authenticating an individual with its biometric and is connected to the biometric authentication management server 14 and the authentication using device 16 via the communication network 12. The authentication using device 16 is, for example, a device that provides a predetermined service or function to a user authenticated by the authentication terminal 10.

認証端末10は、生体の特徴箇所を読み取り、特徴を抽出する読取り・特徴抽出装置20を具備する。認証端末10は更に、表示装置22、キーボード(又はタッチパネル)24、通信装置26、タイマ28、認証モード切替えボタン30、及び記憶装置32、及び種々のプログラムを実行するCPU34を具備する。記憶装置32には、端末ID(シリアル番号)、サイトID(サイトのシリアル番号)、及び生体認証の認証鍵Xが格納されている。   The authentication terminal 10 includes a reading / feature extraction device 20 that reads a feature portion of a living body and extracts a feature. The authentication terminal 10 further includes a display device 22, a keyboard (or touch panel) 24, a communication device 26, a timer 28, an authentication mode switching button 30, a storage device 32, and a CPU 34 that executes various programs. The storage device 32 stores a terminal ID (serial number), a site ID (site serial number), and a biometric authentication key X.

生体認証管理サーバ14は、表示装置40、キーボード(又はタッチパネル)42、通信装置44、タイマ46、記憶装置48、CPU50及び乱数発生装置52を具備する。記憶装置48には、サーバ14が管理する複数のサイトの複数の認証端末について、端末ID,サイトID及び認証鍵Xが格納されている。認証鍵Xは、サイト毎に設定される場合と、個々の認証端末毎に設定される場合がある。   The biometric authentication management server 14 includes a display device 40, a keyboard (or touch panel) 42, a communication device 44, a timer 46, a storage device 48, a CPU 50, and a random number generation device 52. The storage device 48 stores a terminal ID, a site ID, and an authentication key X for a plurality of authentication terminals at a plurality of sites managed by the server 14. The authentication key X may be set for each site or may be set for each individual authentication terminal.

生体認証管理サーバ14は、利用者の生体情報を記憶装置48等に記憶しており、認証端末10で読み取られた生体情報から利用者を特定する機能を有する。但し、この機能は、本実施例の理解には必要ないので、詳細な説明を省略する。   The biometric authentication management server 14 stores the biometric information of the user in the storage device 48 and the like, and has a function of specifying the user from the biometric information read by the authentication terminal 10. However, since this function is not necessary for understanding the present embodiment, detailed description thereof is omitted.

認証端末10のタイマ28と、生体認証管理サーバ14のタイマ46は、例えばネットワークタイムサーバに同期しており、常時、互いに同じ時刻を示している。   The timer 28 of the authentication terminal 10 and the timer 46 of the biometric authentication management server 14 are synchronized with a network time server, for example, and always indicate the same time.

図2は、本実施例の基本動作のフローチャートを示す。生体認証を利用できる場合(S1)、利用者は、生体認証を使って認証利用装置16にアクセスし、そのサービス又は機能を利用する(S2)。なお、生体認証で利用者の確認がとれた後の動作は、ステップS12以降と同じである。   FIG. 2 shows a flowchart of the basic operation of this embodiment. When biometric authentication can be used (S1), the user accesses the authentication using device 16 using biometric authentication and uses the service or function (S2). The operation after the user is confirmed by biometric authentication is the same as that after step S12.

生体を読み取るデバイスが故障した場合のように、認証端末10で生体認証を利用できない場合、利用者は、認証モード切替えボタン30によりパスワード認証に切り換える(S1)。詳細は後述するが、利用者は、利用者がその場で任意に生成した文字列からなる一時コードTを認証端末10に入力する。認証端末10は、一時コードTを使って、認証端末10を特定する端末特定コードAを生成し、表示装置22の画面に表示する(S3)。端末特定コードAは、一時コードTで暗号化された、一時コードT入力時の時刻の情報(Y)と、認証鍵Xで暗号化された端末IDと、認証鍵Xで暗号化されたサイトIDからなる。   When biometric authentication cannot be used in the authentication terminal 10 as in the case where a device that reads a biometric device fails, the user switches to password authentication using the authentication mode switching button 30 (S1). Although details will be described later, the user inputs a temporary code T composed of a character string arbitrarily generated on the spot by the user to the authentication terminal 10. The authentication terminal 10 generates a terminal identification code A that identifies the authentication terminal 10 using the temporary code T, and displays it on the screen of the display device 22 (S3). The terminal identification code A is encrypted with the temporary code T, the time information (Y) when the temporary code T is input, the terminal ID encrypted with the authentication key X, and the site encrypted with the authentication key X It consists of an ID.

利用者は、表示装置22に表示される端末特定コードAを読み取り、固定電話又は携帯電話等で生体認証管理サーバ14の管理者に端末特定コードAを通知する(S4)。このとき、管理者は、利用者の住所、氏名及び誕生日等により利用者を特定する。利用者毎に予め設定した設問等に利用者が答える方式を採用することで、利用者を特定することが可能である。この場合、認証端末10と生体認証管理サーバ14間で設問と回答をやり取りしてもよい。   The user reads the terminal identification code A displayed on the display device 22, and notifies the administrator of the biometric management server 14 of the terminal identification code A with a fixed phone or a mobile phone (S4). At this time, the administrator specifies the user by the user's address, name, birthday, and the like. The user can be specified by adopting a method in which the user answers a question or the like set in advance for each user. In this case, questions and answers may be exchanged between the authentication terminal 10 and the biometric authentication management server 14.

認証端末10の利用権を有する適正な利用者の場合、管理者は、生体認証管理サーバ14で確認コード生成プログラムを起動し、端末特定コードAを入力する(S5)。オンラインで利用者を確認する場合、その確認結果に基づき、生体認証管理サーバ14が、確認コード生成プログラムに端末特定コードAを入力する。   In the case of an appropriate user having the right to use the authentication terminal 10, the administrator activates the confirmation code generation program on the biometric authentication management server 14 and inputs the terminal identification code A (S5). When confirming a user online, based on the confirmation result, the biometric authentication management server 14 inputs the terminal identification code A into the confirmation code generation program.

生体認証管理サーバ14は、入力された端末特定コードAを認証鍵Xで解読して、端末IDとサイトIDが適正かどうかを照合する(S6)。端末ID又はサイトIDが不正であるか、端末IDとサイトIDの組み合わせが不正の場合、照合結果はNGになる。   The biometric authentication management server 14 decrypts the input terminal identification code A with the authentication key X, and collates whether the terminal ID and the site ID are appropriate (S6). If the terminal ID or the site ID is illegal or the combination of the terminal ID and the site ID is illegal, the collation result is NG.

照合結果がNGの場合(S6)、生体認証管理サーバ14の確認コード生成プログラムは、その旨を表示装置40に表示する。管理者は、NGが表示された場合、不許可を利用者に通知する。認証端末10と生体認証管理サーバ14が通信している場合には、不許可が認証端末10の表示装置22に表示される。   When the collation result is NG (S6), the confirmation code generation program of the biometric authentication management server 14 displays the fact on the display device 40. When NG is displayed, the administrator notifies the user of disapproval. When the authentication terminal 10 and the biometric authentication management server 14 are communicating, the disapproval is displayed on the display device 22 of the authentication terminal 10.

照合結果が適正であれば(S6)、生体認証管理サーバ14の確認コード生成プログラムは、確認コードBを生成する(S7)。確認コードBは、一時コードTで暗号化された時刻情報(Y)と、乱数Hと、乱数発生時刻と、コード有効時間とからなるコードを認証鍵Xで暗号化したデータからなる。確認コードBは表示装置40に表示され、管理者は、表示された確認コードBを利用者に通知する(S8)。このとき、利用者に対して予め登録された連絡先に新たに接続(例えば、発呼)して、連絡することで、利用者の偽装を防ぐことができる。   If the collation result is appropriate (S6), the confirmation code generation program of the biometric authentication management server 14 generates a confirmation code B (S7). The confirmation code B includes data obtained by encrypting a code including time information (Y) encrypted with the temporary code T, a random number H, a random number generation time, and a code valid time with the authentication key X. The confirmation code B is displayed on the display device 40, and the administrator notifies the displayed confirmation code B to the user (S8). At this time, it is possible to prevent the user from impersonating by newly connecting (for example, making a call) to the contact information registered in advance to the user and contacting the user.

確認コードBを知らされた利用者は、認証端末10のパスワード認証ボタン(キーボード24)を押す。これにより、認証端末10の確認コード検査プログラムが起動し、確認コードBと一時コードTの入力を利用者に促す。これに応じて、利用者が認証端末10に確認コードBを入力し(S9)、先に入力した一時コードTを再入力する(S10)。認証端末10と生体認証管理サーバ14が通信している場合には、確認コードBを認証端末10に入力する操作は、省略可能である。   The user who is informed of the confirmation code B presses the password authentication button (keyboard 24) of the authentication terminal 10. As a result, the confirmation code inspection program of the authentication terminal 10 is activated and prompts the user to input the confirmation code B and the temporary code T. In response to this, the user inputs the confirmation code B to the authentication terminal 10 (S9), and re-enters the temporary code T input previously (S10). When the authentication terminal 10 and the biometric authentication management server 14 are communicating, the operation of inputting the confirmation code B to the authentication terminal 10 can be omitted.

認証端末10は、確認コードBとして入力されたコードに含まれる時刻情報、端末ID及びサイトIDで当該コードの適合性をチェックする(S11)。不適合の場合、認証端末10は利用者に不許可を通知する。   The authentication terminal 10 checks the suitability of the code with the time information, the terminal ID, and the site ID included in the code input as the confirmation code B (S11). In the case of nonconformity, the authentication terminal 10 notifies the user of non-permission.

適合する場合(S11)、認証端末10は、認証端末10の端末ID及びサイトIDと、確認コードBに含まれる乱数Hとを含むワンタイムパスワードを生成し(S12)、生体認証管理サーバ14にワンタイムパスワードの発行を要求する(S13)。   If it matches (S11), the authentication terminal 10 generates a one-time password including the terminal ID and site ID of the authentication terminal 10 and the random number H included in the confirmation code B (S12), and sends it to the biometric authentication management server 14. A request for issuing a one-time password is made (S13).

生体認証管理サーバ14は、認証端末10からのワンタイムパスワードの要求に対し、同じく、認証端末10の端末ID及びサイトID、並びに、確認コードBの生成で使った乱数Hを含むワンタイムパスワードを生成する(S14)。当然、認証端末10がステップS12で生成するワンタイムパスワードと、生体認証管理サーバ14がステップS14で生成するワンタイムパスワードは一致する。生体認証管理サーバ14は、生成したワンタイムパスワードを認証利用装置16に通知し、認証端末10の現在の利用者に対するパスワードの変更を要求する(S15)。これに応じて、認証利用装置16は、認証端末10の現在の利用者に対するパスワードを、生体認証管理サーバ14からのワンタイムパスワードに変更する。   In response to the one-time password request from the authentication terminal 10, the biometric authentication management server 14 similarly receives the one-time password including the terminal ID and site ID of the authentication terminal 10 and the random number H used in generating the confirmation code B. Generate (S14). Naturally, the one-time password generated by the authentication terminal 10 in step S12 matches the one-time password generated by the biometric authentication management server 14 in step S14. The biometric authentication management server 14 notifies the generated one-time password to the authentication using device 16 and requests the current user of the authentication terminal 10 to change the password (S15). In response to this, the authentication using device 16 changes the password for the current user of the authentication terminal 10 to the one-time password from the biometric authentication management server 14.

認証端末10は、ステップS12で生成したワンタイムパスワードを認証利用装置16に認証用パスワードとして送信する(S16)。認証利用装置16の確認を経て、認証端末10の現在の利用者は、認証利用装置16のサービス又は機能を利用できる。   The authentication terminal 10 transmits the one-time password generated in step S12 to the authentication utilization device 16 as an authentication password (S16). After confirmation of the authentication using device 16, the current user of the authentication terminal 10 can use the service or function of the authentication using device 16.

図3は、図2の端末特定コード発生処理(ステップS3)の詳細なフローチャートを示す。利用者が認証モード切替えボタンでパスワード認証を選択すると、図3に示すフローの端末特定コード発生プログラムが起動される。認証端末10のCPU34は、一時コードTの入力画面を表示装置22に表示し、利用者に一時コードの入力を促す(S21)。利用者は、その場で任意に考えた一時コードTを、キーボード24を使って入力する(S22)。   FIG. 3 shows a detailed flowchart of the terminal identification code generation process (step S3) of FIG. When the user selects password authentication with the authentication mode switching button, the terminal identification code generation program of the flow shown in FIG. 3 is started. The CPU 34 of the authentication terminal 10 displays the input screen of the temporary code T on the display device 22 and prompts the user to input the temporary code (S21). The user inputs the temporary code T arbitrarily considered on the spot using the keyboard 24 (S22).

CPU34はタイマ28から現在時刻、即ち、一時コードTの入力時刻を取り込み(S23)、取り込んだ時刻を、一時コードTを暗号鍵として暗号化する(S24)。暗号化された時刻情報を暗号化時刻コードYとする。   The CPU 34 fetches the current time, that is, the input time of the temporary code T from the timer 28 (S23), and encrypts the fetched time using the temporary code T as an encryption key (S24). The encrypted time information is assumed to be an encrypted time code Y.

CPU34は、記憶装置32から端末ID、サイトID及び認証鍵Xを読み出し、端末IDとサイトIDを連結したコードを認証鍵Xで暗号化する(S25)。コードYの文字数、コードY及びステップS25で生成したコードを連結して、端末特定コードAを生成する(S26)。即ち、A=”Yの文字数”+Y+認証鍵Xで暗号化された(端末ID+サイトID)である。コードYが固定長の場合、Yの文字数の情報は不要になるが、不特定長の方が、セキュリティ上、安全性が高い。CPU34は、生成された端末特定コードAを表示装置22に表示する(S27)。   The CPU 34 reads out the terminal ID, the site ID, and the authentication key X from the storage device 32, and encrypts a code obtained by connecting the terminal ID and the site ID with the authentication key X (S25). The terminal identification code A is generated by concatenating the number of characters of the code Y, the code Y, and the code generated in step S25 (S26). That is, A = “number of characters of Y” + Y + encrypted with the authentication key X (terminal ID + site ID). When the code Y has a fixed length, the information on the number of characters of Y is not necessary, but the unspecified length is more secure for security. The CPU 34 displays the generated terminal identification code A on the display device 22 (S27).

利用者は、表示された端末特定コードAを読み取り、先に説明したように、管理者に通知する。   The user reads the displayed terminal identification code A and notifies the administrator as described above.

図4は、生体認証管理サーバ14における確認コード生成処理(ステップS5〜S8)の詳細なフローチャートを示す。   FIG. 4 shows a detailed flowchart of the confirmation code generation process (steps S5 to S8) in the biometric authentication management server 14.

管理者が、生体認証管理サーバ14で確認コード生成プログラムを起動し、端末特定コードAを入力する(S31)。生体認証管理サーバ14のCPU50は、入力された端末特定コードAの先頭に配置されるコードYの文字数を使って、端末特定コードAからコードYと、暗号化された端末ID及びサイトIDとを分離する(S32)。   The administrator activates the confirmation code generation program on the biometric authentication management server 14 and inputs the terminal identification code A (S31). The CPU 50 of the biometric authentication management server 14 uses the number of characters of the code Y arranged at the head of the input terminal identification code A to obtain the code Y from the terminal identification code A and the encrypted terminal ID and site ID. Separate (S32).

暗号化された端末ID及びサイトIDを、記憶装置48の認証鍵Xで解読する(S33)。端末特定コードAで送信された端末ID及びサイトIDを、記憶装置48に記憶される認証端末情報と照合して、正しいかどうかを確認する(S34)。NG、即ち不適正であれば(S34)、表示装置40に不許可を表示する(S40)。管理者は、不許可である旨を利用者に通知する。   The encrypted terminal ID and site ID are decrypted with the authentication key X of the storage device 48 (S33). The terminal ID and site ID transmitted with the terminal identification code A are collated with the authentication terminal information stored in the storage device 48 to confirm whether it is correct (S34). If it is NG, that is, improper (S34), a disapproval is displayed on the display device 40 (S40). The administrator notifies the user that it is not permitted.

端末特定コードAで送信された端末ID及びサイトIDが適正であれば(S34)、CPU50はタイマ46から現在時刻を取り込み(S35)、乱数発生装置52により乱数Hを発生させる(S36)。乱数Hの有効時間を設定する(S37)。有効時間は、管理者がその都度、設定しても良いし、デフォルトの一定時間を設定しても良い。   If the terminal ID and site ID transmitted with the terminal identification code A are appropriate (S34), the CPU 50 fetches the current time from the timer 46 (S35), and generates a random number H by the random number generator 52 (S36). The valid time of the random number H is set (S37). The effective time may be set by the administrator each time, or a default fixed time may be set.

CPU50は、乱数Hの文字数、乱数H、乱数発生時刻、有効時間及びコードYからなるデータ列を認証鍵Xで暗号化する(S38)。得られたコードが確認コードBとなる。CPU50は、生成された確認コードBを表示装置40に表示する(S39)。管理者は、表示された確認コードBを利用者に通知する。   The CPU 50 encrypts a data string including the number of characters of the random number H, the random number H, the random number generation time, the valid time, and the code Y with the authentication key X (S38). The obtained code is the confirmation code B. The CPU 50 displays the generated confirmation code B on the display device 40 (S39). The administrator notifies the displayed confirmation code B to the user.

図5は、認証端末10における確認コード検査処理(S9〜S11)の詳細なフローチャートを示す。   FIG. 5 shows a detailed flowchart of the confirmation code inspection process (S9 to S11) in the authentication terminal 10.

利用者が認証端末10のパスワード認証ボタン(キーボード24)を押すことで、確認コード検査プログラムが起動する。確認コード検査プログラムは、確認コードBの入力を利用者に促す。これに応じて、利用者が認証端末10に確認コードを認証端末10に入力する(S51)。認証端末10のCPU34は、入力されたコード(正しければ、確認コードB)を認証鍵Xで解読する(S52)。確認コード検査プログラムは更に、先に入力した一時コードTの再入力を利用者に促す(S10)。   When the user presses the password authentication button (keyboard 24) of the authentication terminal 10, the confirmation code inspection program is activated. The confirmation code inspection program prompts the user to input the confirmation code B. In response to this, the user inputs a confirmation code to the authentication terminal 10 to the authentication terminal 10 (S51). The CPU 34 of the authentication terminal 10 decrypts the input code (confirmation code B if correct) with the authentication key X (S52). The confirmation code inspection program further prompts the user to re-enter the temporary code T previously input (S10).

ステップS52の解読結果から、乱数H,乱数発生時刻、有効時間及びコードYを分離する(S54)。ステップS51で入力されたコードが、生体認証管理サーバ14がステップS38で生成した確認コードBに等しければ、乱数H,乱数発生時刻、有効時間及びコードYを正しく分離でき、分離結果も正しい情報を示す。   The random number H, random number generation time, valid time, and code Y are separated from the decoding result of step S52 (S54). If the code input in step S51 is equal to the confirmation code B generated by the biometric authentication management server 14 in step S38, the random number H, the random number generation time, the valid time, and the code Y can be correctly separated, and the separation result also includes correct information. Show.

ステップS53で再入力されたコード(正しければ、コードT)を使って、ステップS54で分離されたコードYを解読する(S55)。ステップS53で再入力されたコードが、ステップS22で入力された一時コードTと一致していれば、コードYを解読でき、一時コードTの入力時刻を示す有効な時刻データを得ることができる。換言すると、コードYの解読が成功すれば、端末特定コード発生処理(S3)で認証端末10を操作した利用者と、確認コード検査処理(S9〜S11)で認証端末10を操作する利用者が同一人物であることになる。   Using the code re-input in step S53 (or code T if correct), the code Y separated in step S54 is decoded (S55). If the code re-input in step S53 matches the temporary code T input in step S22, the code Y can be decoded and valid time data indicating the input time of the temporary code T can be obtained. In other words, if the code Y is successfully decoded, a user who operates the authentication terminal 10 in the terminal identification code generation process (S3) and a user who operates the authentication terminal 10 in the confirmation code inspection process (S9 to S11) It is the same person.

ステップS54で分離された乱数発生時刻と有効時間、及びステップS55の解読によるコードYの解読結果のフォーマットをチェックし、これらが全て、時刻情報を示しているかどうかを調べる(S56)。何れか1つでも時刻情報のフォーマットになっていなければ(S57)、ステップS51又はS53で入力されたコードが正しくないことになり、確認コード検査プログラムは、表示装置22に不許可を表示して(S61)、終了する。   The random number generation time and valid time separated in step S54 and the format of the decoding result of the code Y by the decoding in step S55 are checked, and it is checked whether or not all of these indicate time information (S56). If any one of them is not in the time information format (S57), the code input in step S51 or S53 is incorrect, and the confirmation code inspection program displays a disapproval on the display device 22. (S61), the process ends.

時刻情報のフォーマットチェックに合格したら(S57)、CPU34は、タイマ28から現在時刻を取り込む(S58)。乱数発生時刻から現在時刻までの経過時間が、生体認証管理サーバ14で設定された有効時間を越えている場合(S59)、確認コード検査プログラムは、表示装置22に不許可を表示して(S61)、終了する。また、一時コードTの入力時刻(ステップS23で取り込んだ時刻)から現在時刻までの経過時間が、生体認証管理サーバ14で設定された有効時間を越えている場合にも(S60)、確認コード検査プログラムは、表示装置22に不許可を表示して(S61)、終了する。   If the time information format check is passed (S57), the CPU 34 fetches the current time from the timer 28 (S58). When the elapsed time from the random number generation time to the current time exceeds the valid time set by the biometric authentication management server 14 (S59), the confirmation code inspection program displays a disapproval on the display device 22 (S61). ),finish. Even when the elapsed time from the input time of the temporary code T (the time taken in in step S23) to the current time exceeds the valid time set in the biometric authentication management server 14 (S60), the confirmation code check The program displays disapproval on the display device 22 (S61) and ends.

現在時刻が、乱数発生時刻からも有効時間内で、且つ、一時コードTの入力時刻からも有効時間内であれば(S59,S60)、ワンタイムパスワード発行処理(ステップS12)に移行する。   If the current time is within the valid time from the random number generation time and within the valid time from the input time of the temporary code T (S59, S60), the process proceeds to a one-time password issuing process (step S12).

本実施例により、生体認証が利用できない状況でも、生体認証のために組み込まれた情報を利用して、認証利用装置16の利用を一時的に許可することができる。   According to the present embodiment, even when the biometric authentication cannot be used, the use of the authentication using device 16 can be temporarily permitted using the information incorporated for the biometric authentication.

利用者の特定については、利用者の電話番号を予め登録しておき、登録された電話番号からの着信で利用者を特定するようにしてもよい。また、特定の質問を利用者に問い、その回答で利用者を特定してもよい。   For user identification, the user's telephone number may be registered in advance, and the user may be identified by an incoming call from the registered telephone number. Further, a specific question may be asked to the user, and the user may be specified by the answer.

認証端末を特定する情報として、端末IDとサイトIDを利用したが、他に、MACアドレス、IPアドレス、又はこれらの組み合わせを使用してもよいことは明らかである。IPアドレスは詐称されることが知られているので、IPアドレスを使用する場合には、IPアドレスとMACアドレスを組み合わせるのが好ましい。   Although the terminal ID and the site ID are used as information for specifying the authentication terminal, it is obvious that a MAC address, an IP address, or a combination thereof may be used. Since IP addresses are known to be spoofed, it is preferable to combine IP addresses and MAC addresses when using IP addresses.

生体認証システムを補完する認証システムとして説明したが、本発明は、一時的な利用を可能にする認証方法又はシステムとしても利用可能である。   Although described as an authentication system that complements a biometric authentication system, the present invention can also be used as an authentication method or system that enables temporary use.

特定の説明用の実施例を参照して本発明を説明したが、特許請求の範囲に規定される本発明の技術的範囲を逸脱しないで、上述の実施例に種々の変更・修整を施しうることは、本発明の属する分野の技術者にとって自明であり、このような変更・修整も本発明の技術的範囲に含まれる。   Although the invention has been described with reference to specific illustrative embodiments, various modifications and alterations may be made to the above-described embodiments without departing from the scope of the invention as defined in the claims. This is obvious to an engineer in the field to which the present invention belongs, and such changes and modifications are also included in the technical scope of the present invention.

本発明の一実施例の概略構成ブロック図である。It is a schematic block diagram of one Example of this invention. 本実施例の基本動作を示すフローチャートである。It is a flowchart which shows the basic operation | movement of a present Example. 認証端末10における端末特定コード発生処理(ステップS3)の詳細なフローチャートを示す。The detailed flowchart of the terminal specific code generation process (step S3) in the authentication terminal 10 is shown. 生体認証管理サーバ14における確認コード生成処理(ステップS5〜S8)の詳細なフローチャートを示す。The detailed flowchart of the confirmation code production | generation process (step S5-S8) in the biometrics management server 14 is shown. 認証端末10における確認コード検査処理(S9〜S11)の詳細なフローチャートを示す。A detailed flowchart of the confirmation code inspection process (S9 to S11) in the authentication terminal 10 is shown.

符号の説明Explanation of symbols

10:認証端末
12:通信網
14:生体認証管理サーバ
16:認証利用装置
20:読取り・特徴抽出装置
22:表示装置
24:キーボード(又はタッチパネル)
26:通信装置
28:タイマ
30:認証モード切替えボタン
32:記憶装置
34:CPU
40:表示装置
42:キーボード(又はタッチパネル)
44:通信装置
46:タイマ
48:記憶装置
50:CPU
52:乱数発生装置 10: Authentication terminal 12: Communication network 14: Biometric authentication management server 16: Authentication using device 20: Reading / feature extraction device 22: Display device 24: Keyboard (or touch panel)
26: Communication device 28: Timer 30: Authentication mode switching button 32: Storage device 34: CPU
40: Display device 42: Keyboard (or touch panel)
44: Communication device 46: Timer 48: Storage device 50: CPU
52: Random number generator

Claims (8)

認証端末と認証管理サーバとからなる認証システムであって、
当該認証端末において、任意の文字列からなる一時コードを受け付け、当該一時コードから、当該認証端末を特定する情報を含む端末特定コードを生成する端末特定コード生成手段を具備し、
当該認証管理サーバが、当該端末特定コードに従い当該認証端末の正当性を確認し、正当の場合に、当該一時コードを示す情報を含む確認コードを生成する確認コード生成手段を具備し、
当該認証端末が、
当該確認コードに相当するコードと、当該一時コードに相当するコードの入力を受け付け、当該確認コードに相当するコードの適合性を検査する確認コード検査手段と、
当該確認コード検査手段で適合と判断された場合に、ワンタイムパスワードを発生すると共に、当該認証管理サーバに同じワンタイムパスワードの発生を要求する第1のワンタイムパスワード生成要求手段と、
当該第1のワンタイムパスワード生成要求ステップで生成されたワンタイムパスワードを認証用に当該認証利用装置に送信するパスワード送信手段
とを具備し、
当該認証管理サーバが、当該認証端末からの要求に従い、当該ワンタイムパスワードを生成すると共に、認証利用装置にパスワードの変更を要求する第2のワンタイムパスワード生成要求手段を具備する
ことを特徴とする認証システム。 An authentication system comprising an authentication terminal and an authentication management server,
The authentication terminal comprises a terminal identification code generating means for receiving a temporary code consisting of an arbitrary character string and generating a terminal identification code including information for identifying the authentication terminal from the temporary code;
The authentication management server includes a confirmation code generation unit that confirms the validity of the authentication terminal according to the terminal identification code, and generates a confirmation code including information indicating the temporary code if the authentication management server is valid.
The authentication terminal
Confirmation code inspection means for accepting input of a code corresponding to the confirmation code and a code corresponding to the temporary code, and inspecting the suitability of the code corresponding to the confirmation code;
A first one-time password generation requesting means for generating a one-time password and requesting the authentication management server to generate the same one-time password when the confirmation code checking means determines that it is suitable;
Password transmitting means for transmitting the one-time password generated in the first one-time password generation request step to the authentication utilization apparatus for authentication;
The authentication management server includes a second one-time password generation request unit that generates the one-time password according to a request from the authentication terminal and requests the authentication using apparatus to change the password. Authentication system. 当該端末特定コードが、当該一時コードで暗号化された一時コード入力時刻情報と、当該認証端末を特定する端末特定情報を所定暗号化鍵で暗号化した情報とを含むことを特徴とする請求項1に記載の認証システム。   The terminal identification code includes temporary code input time information encrypted with the temporary code, and information obtained by encrypting terminal identification information for identifying the authentication terminal with a predetermined encryption key. The authentication system according to 1. 当該確認コードが、乱数、当該乱数の発生時刻、有効時間、及び当該一時コードで暗号化された一時コード入力時刻情報からなるコードを当該所定暗号化鍵で暗号化したデータからなることを特徴とする請求項2に記載の認証システム。   The confirmation code includes data obtained by encrypting a code including a random number, a generation time of the random number, a valid time, and a temporary code input time information encrypted with the temporary code with the predetermined encryption key. The authentication system according to claim 2. 当該確認コード検査手段が、
当該確認コードに含まれる時刻情報が時刻情報フォーマットに適合するかどうかを検査する手段と、
当該一時コード入力時刻、当該乱数発生時刻及び当該確認コード検査ステップの検査時刻が、当該有効時間に照らして適合かどうかを検査する手段
を具備することを特徴とする請求項3に記載の認証システム。 The confirmation code inspection means
Means for checking whether the time information included in the confirmation code conforms to the time information format;
4. The authentication system according to claim 3, further comprising means for inspecting whether the temporary code input time, the random number generation time, and the inspection time of the confirmation code inspection step are in conformity with the effective time. . 認証端末と認証管理サーバとかなる認証システムにおいて、
当該認証端末において、任意の文字列からなる一時コードを受け付け、当該一時コードから、当該認証端末を特定する情報を含む端末特定コードを生成する端末特定コード生成ステップと、
当該認証管理サーバにおいて、当該端末特定コードに従い当該認証端末の正当性を確認し、正当の場合に、当該一時コードを示す情報を含む確認コードを生成する確認コード生成ステップと、
当該認証端末において、当該確認コードに相当するコードと、当該一時コードに相当するコードの入力を受け付け、当該確認コードに相当するコードの適合性を検査する確認コード検査ステップと、
当該認証端末において、当該確認コード検査ステップで適合と判断された場合に、ワンタイムパスワードを発生すると共に、当該認証管理サーバに同じワンタイムパスワードの発生を要求する第1のワンタイムパスワード生成要求ステップと、
当該認証管理サーバにおいて、当該認証端末からの要求に従い、当該ワンタイムパスワードを生成すると共に、認証利用装置にパスワードの変更を要求する第2のワンタイムパスワード生成要求ステップと、
当該認証端末において、当該第1のワンタイムパスワード生成要求ステップで生成されたワンタイムパスワードを認証用に当該認証利用装置に送信するパスワード送信ステップ
とを具備することを特徴とする認証方法。 In an authentication system consisting of an authentication terminal and an authentication management server,
In the authentication terminal, a terminal specifying code generation step of receiving a temporary code composed of an arbitrary character string and generating a terminal specifying code including information for specifying the authentication terminal from the temporary code;
In the authentication management server, confirming the validity of the authentication terminal according to the terminal identification code, and if valid, a confirmation code generating step for generating a confirmation code including information indicating the temporary code;
In the authentication terminal, a confirmation code inspection step for accepting input of a code corresponding to the confirmation code and a code corresponding to the temporary code, and inspecting the suitability of the code corresponding to the confirmation code;
A first one-time password generation request step for generating a one-time password and requesting the authentication management server to generate the same one-time password when it is determined that the confirmation code inspection step is compatible in the authentication terminal. When,
In the authentication management server, in accordance with a request from the authentication terminal, a second one-time password generation request step for generating the one-time password and requesting the authentication using device to change the password;
An authentication method comprising: a password transmission step in which the authentication terminal transmits the one-time password generated in the first one-time password generation request step to the authentication utilization apparatus for authentication. 当該端末特定コードが、当該一時コードで暗号化された一時コード入力時刻情報と、当該認証端末を特定する端末特定情報を所定暗号化鍵で暗号化した情報とを含むことを特徴とする請求項5に記載の認証方法。   The terminal identification code includes temporary code input time information encrypted with the temporary code, and information obtained by encrypting terminal identification information for identifying the authentication terminal with a predetermined encryption key. 5. The authentication method according to 5. 当該確認コードが、乱数、当該乱数の発生時刻、有効時間、及び当該一時コードで暗号化された一時コード入力時刻情報からなるコードを当該所定暗号化鍵で暗号化したデータからなることを特徴とする請求項6に記載の認証方法。   The confirmation code includes data obtained by encrypting a code including a random number, a generation time of the random number, a valid time, and a temporary code input time information encrypted with the temporary code with the predetermined encryption key. The authentication method according to claim 6. 当該確認コード検査ステップが、
当該確認コードに含まれる時刻情報が時刻情報フォーマットに適合するかどうかを検査し、
当該一時コード入力時刻、当該乱数発生時刻及び当該確認コード検査ステップの検査時刻が、当該有効時間に照らして適合かどうかを検査する
ことを特徴とする請求項7に記載の認証方法。 The verification code inspection step is
Check whether the time information included in the confirmation code conforms to the time information format,
8. The authentication method according to claim 7, wherein the temporary code input time, the random number generation time, and the inspection time of the confirmation code inspection step are inspected to be compatible with the effective time.
JP2007045273A 2007-02-26 2007-02-26 Authentication system and method Withdrawn JP2008210091A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007045273A JP2008210091A (en) 2007-02-26 2007-02-26 Authentication system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007045273A JP2008210091A (en) 2007-02-26 2007-02-26 Authentication system and method

Publications (1)

Publication Number Publication Date
JP2008210091A true JP2008210091A (en) 2008-09-11

Family

ID=39786347

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007045273A Withdrawn JP2008210091A (en) 2007-02-26 2007-02-26 Authentication system and method

Country Status (1)

Country Link
JP (1) JP2008210091A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013111238A1 (en) * 2012-01-23 2013-08-01 パナソニック株式会社 Telephone transmission system, telephone transmission server and display unit
JP2014164408A (en) * 2013-02-22 2014-09-08 Synchro Co Ltd Authentication system with mobile phone and biometric characteristic information provision device

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013111238A1 (en) * 2012-01-23 2013-08-01 パナソニック株式会社 Telephone transmission system, telephone transmission server and display unit
JP2013150240A (en) * 2012-01-23 2013-08-01 Panasonic Corp Telephone call transfer system, telephone call transfer server and display unit
US9313325B2 (en) 2012-01-23 2016-04-12 Panasonic Intellectual Property Management Co., Ltd. Telephone transmission system, telephone transmission server and display unit
JP2014164408A (en) * 2013-02-22 2014-09-08 Synchro Co Ltd Authentication system with mobile phone and biometric characteristic information provision device

Similar Documents

Publication Publication Date Title
US11489673B2 (en) System and method for device registration and authentication
JP5268889B2 (en) Device that performs identification and authentication
US8572713B2 (en) Universal authentication token
EP2579220A1 (en) Entrance guard control method and system thereof
US20130023240A1 (en) System and method for transaction security responsive to a signed authentication
US20210234858A1 (en) Authentication system, authentication method and authentication apparatus
KR101451359B1 (en) User account recovery
JP2018532301A (en) User authentication method and apparatus
JP5303407B2 (en) Biometric authentication system, portable terminal, semiconductor element, and information processing server
JP2006033780A (en) Network authentication system using identification by calling-back
JP2008210091A (en) Authentication system and method
KR101537564B1 (en) Biometrics used relay authorization system and its method
KR101566011B1 (en) Method for Operating OTP using Biometric
JP2006155547A (en) User authentication system, terminal device, and server
KR20240168945A (en) Information Access Handover
JP2006251961A (en) Relief method when biometric authentication is impossible for client / server system with biometric authentication function
US8850518B2 (en) Method and device for user authentication
KR20160053852A (en) Method for Operating OTP
KR20150096366A (en) Method for Operating OTP using Biometric
JP2008225831A (en) Thin client system, server used therefor, client terminal, security card and data communication method
KR101636068B1 (en) Method for Operating OTP using Biometric
KR20110005611A (en) OTP operation method and system using user media and OTP device and recording medium for it
HK40027823A (en) System and method for device registration and authentication
KR20040082848A (en) Biometric information recognition mobile phone and biometric information recognition authentication method
KR20170115471A (en) Method for Operating OTP

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20100511